(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210837171.4 (22)申请日 2022.07.15 (71)申请人 上海阵方科技有限公司 地址 200232 上海市徐汇区丰 谷路315弄24 号1-3层 (72)发明人 邹菁琳　黄伟晗　何德彪　罗敏　 龚自洪　 (74)专利代理 机构 南昌金轩知识产权代理有限 公司 36129 专利代理师 彭小娇 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于SM2 签名的无证书广播加密方法与 系统 (57)摘要 本发明适用于信息安全技术领域， 提供了一 种基于SM2签名的无证书广播加密方法与系统； 其包括基于SM2签名的无证书密钥生成方法包括 系统初始化、 秘密值设置、 部分私钥提取、 私钥设 置、 公钥设置共5个部分； 基于SM2签名的无证书 广播加密方法包括基于SM2 签名的无证书密钥生 成方法的5个部分以及加密、 解密共7个部分； 通 过已有文献指出的基于SM2的无证书签名体系在 私钥提取阶段仍然使用Schnorr签名； 可解决 已 有的基于SM2签名的无证书密钥生成方法中， 签 名的步骤与SM2不 一致的问题。 权利要求书3页 说明书9页 附图2页 CN 115277016 A 2022.11.01 CN 115277016 A 1.一种基于SM2签名的无证书广播加密方法， 其特征在于， 包括一种基于SM2签名的无 证书密钥生成方法， 具体步骤如下： 步骤1， 初始化设置， 确定主私钥， 并计算主公钥； 步骤2， 秘密值的设置， 确定A用户ID， 选择秘密值， 并以秘密值计算公钥， 然后将用户ID 和公钥发送给密钥生成中心； 步骤3， 部分私钥提取， 由密钥生成中心选取随机数并计算私钥数据并发送给用户A； 步骤4， 私钥设置， 用户A 依据上述 步骤设置私钥； 步骤5， 公钥设置， 用户A依据上述步骤设置公钥； 还包括一种基于SM2签名的无证书广 播加密方法中的加密和解密算法； 步骤6， 加密算法， 给定待加密消息， 接受者标识ID和公钥， 发送者用户A随机选取b值并 计算； 步骤7， 解密算法， 给定密文以及接受者私钥， 然后进行解密并验证。 2.如权利要求1所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 本方法 为将计算签名结果s时的求逆步骤提取到用户公钥计算当中； 即SM2签名中用户私钥为dC， 公钥为 计算s的方法为s＝dC(k+r)‑rmodn； 其中本方法参数选取具 体符号描述如下： A， B， C： 使用公钥密码系统的三个用户； q： 一个大 素数； Fq： 包含q个元素的有限域； G： 椭圆曲线的一个 基点， 其阶为素 数； n： 基点G的阶； 由1， 2， ， . ...， n‑1组成的整数集 合； [k]P： 椭圆曲线上点P的k 倍点， k是正整数； H(·)： 密码杂凑函数； Ea(·)： 对称密码算法加密函数， 密钥为a； Da(·)： 对称密码算法解密函数， 密钥为a； dC： 由KGC秘密持有的系统主私钥； Ppub： 由KGC公开的系统主公钥， 计算公式为 ID： 用户的可辨别标识； xA： 用户A的秘密值； (r， s)： SM2签名值， 其中， s是 KGC为用户生成的部分私钥； PKA： 用户A的公钥， 即RA； SA： 用户A的私钥； m： 待加密的消息； mod n： 模n运算： x||y： x与y的拼接， 其中x， y可以是比特串或字节串。 3.如权利要求2所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 所述步权　利　要　求　书 1/3 页 2 CN 115277016 A 2骤1， 初始化设置， 确定主私钥， 并计算主公钥的详细步骤为： a)首先KGC产生随机数 作为主私钥； b)计算主公钥 4.如权利要求3所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 所述步 骤2， 秘密值的设置， 确定A用户ID， 选择秘密值， 并以秘密值计算 公钥， 然后将用户ID和公钥 发送给密钥生成中心的详细步骤如下； a)首先用户A随机选取自己的ID， 并随机选取 将xA作为自己的秘密值； 再计算 该秘密值对应的公钥PA1＝xAG； b)然后用户将ID和公钥PA1发送给KGC。 5.如权利要求4所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 所述步 骤3， 部分私钥提取， 由密钥生成中心选取随机数并计算私钥数据并发送给用户A的详细步 骤如下： a)KGC选取随机数 并计算K＝ kG＝(x1， y1)； b)计算e＝H(ID| |PA1||K)； c)计算r＝rx+e； d)计算s＝dC(k+r)‑rmodn； e)计算PA2＝(rx+s)G； f)KGC将s、 PA2、 K发送给用户A。 6.如权利要求5所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 所述步 骤4， 私钥设置， 用户A 依据上述 步骤设置私钥中， 用户A将自己的私钥设置为SA＝<xA， s>。 7.如权利要求6所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 所述步 骤5， 公钥设置， 用户A 依据上述 步骤设置公钥中， 用户A将公钥设置为PKA＝<K， PA1， PA2>。 8.如权利要求7所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 所述步 骤6加密算法， 给定待加密消 息， 接受者标识ID和公钥， 发送者用户A随机选取b值并计算的 详细步骤如下： a)给定消息m， t个接收者的标识IDi和公钥PKi＝<Ki， Pi1， Pi2>； b)发送者用户A随机 选取 计算B＝bG； c)对每个接收者i计算ei＝H(IDi||Pi1||Ki)， Ni＝b(eiG+Pi1+Pi2)， zi＝H(B||Ni)， 其中i＝ {1， 2， ...t}； d)随机选取 计算 其中 e)计算a＝H(B||w)， 计算密文γ＝Ea(m)， 计算哈希V＝H(c， m， w， B， γ)， 输出密文<c， B， γ， V>， 其中c＝{c0， c1...ct‑1}。 9.如权利要求8所述的一种基于SM2签名的无证书广播加密方法， 其特征在于， 所述步 骤7， 解密算法， 给定密文以及接受者私钥， 然后进行解密并验证的详细步骤如下： a)给定密文< c， B， γ， V>， 接收者的私钥Si＝<xi， s>；权　利　要　求　书 2/3 页 3 CN 115277016 A 3